Forum Linux.noyau Problème réseau - NAT Helpers

Posté par  . Licence CC By‑SA.
Étiquettes :
0
27
juil.
2017

Bonjour,

j'ai un petit PC avec 2 cartes réseau qui me sert de gateway/router derrière une freebox.
J'ai configuré avec iptables le bouzin et tout marchait correctement depuis des années.
Il m'a pris l'idée saugrenue d'upgrader le matériel de ce PC, et d'en profiter pour réinstaller Archlinux dessus (le précédent avait plus de 5 ans de "vol").
L'opération s'est plutôt bien passée, mais en faisant des tests de toutes les fonctionnalités que j'avais configuré, je me suis aperçu que le FTP passif ne fonctionne plus.

Comme le réseau interne est natté, j'ai en place les modules nf_nat_ftp et nf_conntrack_ftp, avec la règle -j CT --helper ftp dans la chaîne PREROUTING de la table raw. Les paquets sont bien vu et marqués par cette chaîne.
En revanche, les paquets en retour ne sont pas reconnus : il arrivent dans la chaine INPUT de la gateway et sont donc légitimement rejetés.
Le comportement attendu est bien que les paquets soient "reconnus" et "nattés" par conntrack. Et il suffit, par exemple, d'autoriser les paquets à l'état "RELATED" à passer dans la chaîne FORWARD.

Je constate cela avec le noyau de base de archlinux, mais aussi avec les noyaux compilés manuellement (version 4.10.17 et 4.12.3)…

Avez-vous des idées, des pistes d'investigations ?

Merci !

  • # et le module est chargé ?

    Posté par  . Évalué à 2.

    la commande lsmod | grep ftp devrait te dire si des modules liés à FTP sont chargés,
    si ce n'est pas le cas, il faut alors faire un modprobe nf_nat_ftp
    pour charger nf_nat_ftp, etc

    • [^] # Re: et le module est chargé ?

      Posté par  . Évalué à 2.

      C'est vrai que je ne l'ai pas précisé, mais oui, les modules sont bien chargés.
      Merci pour la réponse :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.